NAT技术在工作中经常用到,在华为防火墙上NAT又是如何配置的呢?下面结合案例给大家分享一下。
NAT分为源NAT和目的NAT。源NAT技术对报文的源地址进行转换,使大量私网用户可以利用少量公网IP上网,大大减少了对公网IP地址的需求。
下图示意了源NAT转换的过程:当上网流量到达防火墙时,报文的私网源IP将被转换为公网IP;当回程报文到达防火墙时,报文的公网目的IP将被转换为私网IP。整个NAT转换过程对于内、外网主机来说是完全透明的。
地址池
NAT地址池是一个虚拟的概念,它形象地把“公网IP地址的集合”比喻成一个“放IP地址的池子或容器”,防火墙在应用源NAT功能时就是从地址池中挑选出一个公网IP,然后对私网IP进行转换。可以通执行如下命令配置地址池
nat address-group 1 202.169.1.2 202.169.1.5
华为防火墙支持那些源NAT
下面通过一个案例简单阐述NATNo-PAT、NAPT和easy-ip的具体区别。我这边采用ensp的USG6000v.
拓扑图
1、No-PAT
“No-PAT”表示不进行端口转换,所以NAT No-PAT只转换IP地址,故也称为“一对一IP地址转换”。
1、配置安全策略
policy interzone trust untrust outbound
policy 1
action permit
policy source 192.168.0.0 0.0.0.255
2、新建地址池
nat address-group 1 202.10.1.3 202.10.1.4
2、配置NAT
nat-policy interzone trust untrust outbound
policy 1
action source-nat
policy source 192.168.0.0 0.0.0.255
address-group 1 no-pat
从会话表中可以看到PC1(192.168.0.2)的IP进行了NAT转换(中括号[]内的是NAT转换后的IP和端口),而端口没有转换。
从Server-map表中可以看到NAT类型是No-PAT、NAT转换前后的IP地址,由于端口没有转换,所以并没有显示端口信息。这里可以注意到正、反向Server-map表中的目的IP均为any,也就是说只要Server-map表没有老化,理论上任何外网主机只要知道NAT转换后的IP,都可以主动访问内网主机的公网IP。
2、NAPT
NAPT表示网络地址端口转换,即同时对IP地址和端口号进行转换,也可称为PAT(PAT不是只转换端口号的意思,而是IP、端口号同时转换)。NAPT是最常用的源NAT技术之一。
NAPT和NAT No-PAT配置上的差异点
nat-policy interzone trust untrust outbound
policy 1
address-group 1 //不配置no-pat
从PC1上ping PC2,在FW上查看会话表。可以看到源IP和源端口都做了NAT转换,而且端口号是顺序转换的
3、出接口地址方式(easy-ip)
出接口地址方式是利用出接口的公网IP做源NAT转换,适用于公网IP非常少或接口动态获取IP的场景(仅中低端防火墙支持接口动态获取IP)。
基于上述的配置做如下修改
policy 1
action source-nat
policy source 192.168.0.0 0.0.0.255
easy-ip GigabitEthernet0/0/2
在防火墙会话表上看到easy-ipNAT地址采用的GigabitEthernet0/0/2的接口地址,而且端口也发生了转换。这样大大节约了公网IP和投入的成本。
和NAPT一样,easy-ip也是没有Server-map表的。主要用于让大量用户上网,如果每个连接都建立Server-map表,则会占用大量的设备资源。
想获取拓扑图和配置文件的小伙伴们可以私信回复"NAT"
閱讀更多 攻城獅成長日記 的文章
